政務信息資源共享安全保障體系研究

　　本文針對政務信息共享面臨的安全問題和安全風險進行分析評估，提出解決措施和應對建議。

　　引用本文：顏亮，劉棟，董貴山，等.政務信息資源共享安全保障體系研究[J].通信技術，2020，53(09)：.

　　摘 要

　　針對政務信息共享面臨的安全問題和安全風險進行分析評估，提出解決措施和應對建議。首先，針對共享業務的安全需求，設計政務信息共享安全保障總體架構;其次，從縱向共享和橫向共享兩個維度，提出安全保障管理體系和技術布局;最后，針對政務信息共享交換安全保障體系建設提出建議，為建設政務信息資源共享安全保障系統提供參考。

　　關鍵詞：政務信息共享;共享業務;安全保障系統;數據安全

　　內容目錄：

　　0 引 言

　　1 政務信息共享安全問題及風險

　　1.1 缺乏數據共享和開放統一評估依據

　　1.2 缺乏界定共享責任邊界的支撐手段

　　1.3 缺乏多維度的共享全過程監管機制

　　2 政務信息共享安全需求

　　2.1 業務核心安全需求

　　2.1.1 需要明晰資源共享主體安全責任

　　2.1.2 需要實施共享數據分類分級保護

　　2.1.3 需要開展共享全過程多維度監管

　　2.1.4 需要保障安全防護手段可用易用

　　2.2 系統核心安全需求

　　2.2.1 體系防護設計需求

　　2.2.2 安全支撐設計需求

　　2.2.3 數據標簽服務需求

　　2.2.4 安全監管服務需求

　　2.2.5 安全審計服務需求

　　3 政務信息共享安全保障體系

　　3.1 總體架構

　　3.1.1 安全基礎支撐

　　3.1.2 安全服務

　　3.1.3 數據共享交換平臺安全防護

　　3.1.4 綜合安全監管

　　3.1.5 標準規范

　　3.1.6 安全管理

　　3.3 工作建議

　　3.3.1 構建安全基礎支撐服務，奠定數據共享安全基石

　　3.3.2 安全防護機制體系化，保障共享平臺整體安全

　　3.3.3 分類分級數據保護，保障全生命周期的安全

　　3.3.4 多維度安全監管，支撐多部門差異化監管

　　4 結 語

　　00 引 言

　　近年來，黨中央、國務院高度重視政務信息共享交換工作，要求打通信息壁壘，構建全國信息資源共享體系，更好地用信息化手段感知社會態勢、暢通溝通渠道、輔助科學決策。國務院陸續印發了《國務院關于印發促進大數據發展行動綱要的通知》(國發〔2015〕50號)、《國務院關于印發政務信息資源共享管理暫行辦法的通知》(國發〔2016〕51號)、《國務院辦公廳關于印發政務信息系統整合共享實施方案的通知》(國辦發〔2017〕39號)等政策文件，要求全面推進政務信息共享交換。

　　在國務院、國家發展改革委、地方政府等部門的共同努力下，推進政務信息共享交換工作取得突出成效。但是，隨著政務信息共享工作的推進，政務信息共享數據安全問題日趨凸顯，其中包括制度體系不健全、管理流程不清晰、權責關系不明確、職責劃分不清楚以及保障措施不到位等，給政務信息共享工作的推進帶來了挑戰。因此，需要針對共享交換面臨的數據安全挑戰提出應對措施，參考國內外共享交換安全保障研究成果，結合相關的法律法規，為明確數據權屬、認定安全責任、監督數據使用提供技術保障手段，解除數據提供方、數據需求方和共享平臺管理方的后顧之憂，為各政務部門、企事業單位積極參與到數據共享創造安全條件。

　　01 政務信息共享安全問題及風險

　　1.1 缺乏數據共享和開放統一評估依據

　　政務信息系統整合共享工作的順利開展基礎是區分哪些數據可以共享或開放，哪些是不能共享或開放的，目前缺乏統一的評估依據。政務外網數據共享交換的各種數據，在所屬業務領域、數據類型、敏感程度、被泄露后所造成的損害程度等方面存在一定的差異。針對不同安全級別的數據，在數據共享、交換、存儲、使用等方面缺乏適度的安全防護策略。若對數據安全級別判斷不足，存在保護強度不夠的情況，將導致數據泄露風險。反之，過度保護的情況將影響數據共享和使用效能的充分發揮。

　　因此，需要參考國內外相關成果制定統一的數據分類和分級標準規范，明確各級別的政務信息資源的共享或開放的范圍及條件。同時，需要制定針對不同安全級別的數據安全防護策略，為數據共享交換過程中的數據共享和使用、數據安全保護等提供基礎依據。

　　1.2 缺乏界定共享責任邊界的支撐手段

　　明晰政務信息資源共享各參與方的安全責任邊界，是政務信息資源共享和利用的重要保障。由于政務信息資源共享過程包括信息資源的發布、交換、匯集和共享使用，信息資源的留存地可能在資源提供方、資源使用方、平臺服務方。如果沒有清晰界定各參與方安全責任邊界的支撐手段，當發生數據泄露等安全事件時，各參與方的責任難以確定，會對后續的數據共享工作造成困難。

　　因此，通過技術手段和管理手段，綜合利用管理制度、檢測評估要求、審計日志以及數據流轉信息記錄等措施，明確政務信息資源共享流轉過程，清晰界定各參與方的安全責任邊界，為數據共享交換的順利開展提供支撐。

　　1.3 缺乏多維度的共享全過程監管機制

　　政務信息資源是政府重要資產。數據共享交換平臺屬于國家關鍵信息基礎設施，針對平臺和資源的監管體現了多維度、多責任主體的特點，目前尚缺乏多維度的共享全過程監管機制，難以支撐不同責任部門的監管需求。第一，數據共享交換平臺的主管部門和各類資源提供方需要監測政務信息資源在共享過程中的流轉情況，以確保資源是合規、合法共享和使用。第二，在政務信息資源分布式存儲和大量匯聚兩種情況下，需要檢查數據的敏感程度甚至是涉密程度，確保資源共享符合保密管理規定。第三，數據共享交換平臺涉及的網絡產品和服務、云計算服務等，需要符合中央網信辦的相關安全審查要求。第四，數據共享交換平臺安全防護和共享資源安全防護過程所使用的密碼產品和服務，需要符合國家密碼管理局的相關要求。

　　因此，需要建立多維度的監管機制，對共享全過程的數據流轉情況、保密情況、網絡安全情況、密碼應用情況進行細粒度、多維度的監管，滿足不同責任部門的監管需求，保障政務信息資源共享合規、有序進行。

　　綜上所述，政務信息共享面臨的安全問題、安全風險及相應的對策建議如表1所示。

　　表1 政務共享安全風險、問題和對策

　　02 政務信息共享安全需求

　　從業務和系統兩個方面分析政務信息資源共享安全需求。業務核心安全需求從共享主體視角，分析在共享全過程中的安全關注焦點。系統核心安全需求是從支撐業務安全的系統實現角度，以層次化、體系化方法提煉和分析共享全過程的安全防護需求。

　　2.1 業務核心安全需求

　　2.1.1 需要明晰資源共享主體安全責任

　　按照《政務信息資源共享管理暫行辦法》(國發〔2016〕51號)文件精神，政務信息資源共享涉及資源提供方、資源使用方以及政務信息資源共享各級主管部門。其中，各級主管部門需要負責共享平臺的組織建設、服務運維和共享監管。從安全視角出發，應將共享監管職責獨立，確認監管部門這一角色定位。共享過程中，如果數據出現泄漏，由于缺乏有效的共享主體身份確認機制，數據流轉過程的標記手段和監管手段，以及資源提供方、資源使用方、平臺服務方等三方的責任難以確定，監管職責難以履行，將導致資源提供方“不愿共享”“不敢共享”。因此，需要清晰界定資源提供方、資源使用方、平臺服務方的安全責任，以及監管部門的監管責任，保障政務信息資源共享安全有效執行。

　　2.1.2 需要實施共享數據分類分級保護

　　政務信息資源共享涉及大數據集中存儲和管理，大量的分散、結構化和非結構化的數據匯集到平臺服務方的大數據存儲和管理系統，少量不重要、不敏感的數據由于大量匯集可能導致重要程度改變。

　　各種政務信息資源在數據類型、安全風險、被攻擊后所造成的影響等方面都存在一定的差異，需要對數據實施安全分級，為數據分級保護提供基礎參考，為共享信息提供適度的安全防護，避免安全防護強度不足導致敏感數據泄露風險，同時避免過度防護影響數據的共享使用，實現共享和安全的均衡。

　　需要基于數據的分類分級保護工作，對用戶數據安全保護能力實施評估。越能提供有效防護，對數據價值利用效能越高的主體，越能擁有更多的數據共享資源和權限，從而激勵和促進數據安全生態的建立，在政務信息資源共享領域形成合作共贏的良性循環，使得“不愿共享”問題隨之而解。

　　2.1.3 需要開展共享全過程多維度監管

　　政務信息資源是政府重要資產、政務大數據流轉需要完備的監管手段。在數據的交換、匯集、共享使用全過程，需要驗證數據來源，記錄數據共享過程的狀態信息，通過狀態信息匯集和分析，實現數據的共享與應用狀態跟蹤、分析并展現，掌握數據流量、共享動態、資源利用等信息。需要對數據的操作行為進行全程的安全審計，對數據的分類分級信息、加密信息、交換的數據內容進行詳細記錄，記錄交換任務細節，做到安全事件可查、安全責任可追溯。需要滿足不同監管責任主體對數據流轉、密碼應用以及保密方面的差異化數據安全監管需求，實現對共享全過程的數據流轉狀態、密碼應用情況、保密情況、數據防護情況進行細粒度、多維度監管。

　　2.1.4 需要保障安全防護手段可用易用

　　需要確保采用的安全手段以較低成本適配兼容現有的電子政務業務系統的實際使用現狀，同時應該滿足后期政務業務應用的可能升級換代、彈性擴充對安全保障的需求。需要采用與業務系統松耦合的安全機制，使安全能力服務化，確保政務信息系統整合共享安全手段，易于使用、方便部署、便于實施，滿足政務信息系統整合共享后業務的彈性擴展需求，適應業務應用的動態性。此外，需要充分考慮安全手段(包括安全策略、技術、方案和產品)對新技術和新應用模式的適配或者兼容，如區塊鏈、大數據、虛擬化技術等。

　　2.2 系統核心安全需求

　　2.2.1 體系防護設計需求

　　為了保障數據共享平臺的安全，需要對數據共享平臺、平臺前置機以及物理鏈路涉及的物理設備、網絡設備、主機服務器、應用系統以及數據等按照等級保護的要求進行體系化安全防護，包括主機加固、安全域劃分、冗余備份、病毒防護，訪問控制、惡意代碼防范、容錯災備以及應急處置等。重點強化數據共享交換安全防護，對資源提供方和資源使用方進行身份認證及權限控制，保證資源來源、資源使用的真實性、共享安全可控、使用安全合規;通過數據分類和分級保護策略對敏感數據進行加密保護，確保數據傳輸過程中不被非法竊取和篡改，保障數據傳輸的機密性和完整性。

　　2.2.2 安全支撐設計需求

　　需要提供體系防護的安全基礎支撐能力，包括密碼密鑰服務和信任服務。密碼密鑰服務需要提供密碼服務所需的密碼密鑰管理能力。信任服務需要為數據共享環境中的實體(人、設備)提供用戶身份管理、統一身份認證、授權管理以及安全審計能力。

　　2.2.3 數據標簽服務需求

　　為了落實數據分類和分級保護要求，需要依托數據標簽服務對數據的安全級別進行標識，方便數據的安全防護，以及追溯和數據權責認定。數據標簽服務需要提供完整的標簽生成與管理，為數據確定身份，為各類共享方式(服務接口、數據庫表、文件和文件夾)提供數據標簽的生成、更新、驗證、識別、提取等功能，實現標簽全生命周期的安全管理。

　　2.2.4 安全監管服務需求

　　針對數據共享流轉的每一個環節可能存在違規操作或者安全風險等行為進行檢測和管控，需要對數據共享過程中涉及的各種行為進行全程的監管，包括數據交換過程安全風險檢測、安全態勢呈現、協查取證分析以及行為追溯等功能，保障政務信息資源共享安全。

　　2.2.5 安全審計服務需求

　　需要對數據共享平臺使用安全審計服務，實現對數據共享過程中的各種安全日志信息進行挖掘計算、查詢搜索、對比分析、關聯分析以及危害程度評估等功能，實現基于主體、基于事件、基于流程的數據分析和追溯，支撐政務信息資源的共享安全。

　　03 政務信息共享安全保障體系

　　3.1 總體架構

　　基于政務信息資源共享業務安全需求和系統安全需求，打造政務信息資源共享交換安全保障總體架構，如圖1所示。

　　圖1 政務信息共享安全保障總體架構

　　3.1.1 安全基礎支撐

　　政務信息資源共享交換依托密碼基礎設施和信任服務設施作為安全基礎支撐。密碼基礎設施涵蓋政務外網的密鑰管理和電子認證基礎設施。信任服務設施對數據共享交換平臺提供基礎的信任服務支撐。其中，身份管理系統負責對平臺中的用戶、業務應用和組織機構進行統一管理，為標簽服務管理系統提供業務應用信息，也負責對信任服務設施內的其他應用如身份認證系統、可信時間系統提供基礎數據。身份認證系統可從多個維度如數字證書認證、身份證實名認證、賬號名密碼和第三方認證對平臺內所有用戶進行身份認證和單點登錄服務;授權管理系統結合身份管理系統，對數據共享交換申請進行授權并提供鑒權服務，實現數據共享交換可控;安全審計系統對匯集的共享交換數據進行分析及審計，為共享交換數據溯源提供依據;可信時間服務為平臺業務應用和信任服務設施提供基準時間和時間戳服務。

　　3.1.2 安全服務

　　安全服務對基礎設施進行封裝，依托密碼基礎設施和信任服務設施，通過數據加密、數據解密、數據簽名、數據驗簽、數字信封等密碼服務，以及認證服務、鑒權服務、資源注冊服務、時間戳服務、審計分析服務等信任服務，為共享交換提供安全服務。

　　3.1.3 數據共享交換平臺安全防護

　　數據共享交換平臺安全防護基于等級保護要求，強化物理和環境、網絡和通信、設備和計算、應用和數據安全。在物理和環境安全層面強調物理位置選擇和物理訪問控制等，在網絡與通信安全層面強調安全審計、集中管控、入侵防范和惡意代碼防范等技術，在設備與計算安全層面強調主機防護與云主機的鏡像、資源等防護，在應用安全層面強調身份鑒別、訪問控制、安全審計、軟件容錯和資源控制等技術，在應用安全層面強調身份鑒別、應用訪問控制等技術。

　　重點強化數據層面的安全防護，采用數據加密、數據脫敏以及數據審計等技術，同時引入數據標簽管理和服務以及基于標簽的數據防護等技術措施。數據標簽管理服務依托安全服務，對外提供標簽識別服務、標簽生成服務、標簽驗證服務、標簽提取服務及標簽跟蹤管理等功能?；跇撕灧罩虚g件，支撐庫表、服務接口以及文件3類共享方式，為數據共享交換過程提供數據身份，為追蹤溯源提供依據。數據庫加密服務系統、數據脫敏系統、密碼服務中間件、信任服務中間件，對不同種類資源數據定制安全策略，并對資源使用方訂閱數據進行加密、脫敏和完整性保護等，結合數據標簽管理服務系統為數據共享交換過程提供安全保障。

　　3.1.4 綜合安全監管

　　綜合監管平臺包括數據共享交換監管系統、政務云監管系統、監測預警和態勢感知系統以及綜合安全監管呈現平臺等，通過在數據層、系統層、業務層等不同維度，利用不同安全手段進行共享交換全流程的監管及呈現。

　　3.1.5 標準規范

　　在等級保護標準框架指導下，制定能夠指導和規范政務信息資源安全共享系列標準，包括技術標準、測評標準、管理指南、安全服務使用指南、政務信息資源分類和分級指南及管理辦法等標準規范。

　　3.1.6 安全管理

　　建立數據共享交換平臺的安全運維機制和安全管理機制。安全運維機制包括對數據共享平臺運行的安全風險評估、安全狀態監控、變更控制管理、配置安全管理、安全事件管理及應急處置和安全故障管理等，支撐數據共享交換平臺的日常安全運行和運維能力持續優化。安全管理機制包括數據共享交換平臺安全防護相關的崗位、人員、系統和設備等管理機制，明確安全管理流程和管理制度以及考核管理機制，為數據共享交換平臺安全、高效運行提供管理保障。

　　3.2 總體布局

　　基于分級、分布式的安全基礎支撐和安全管理服務，實現對縱向中央、省、地市縣各級數據共享平臺，以及橫向各部委、地方委辦局的數據共享全過程安全保障?？傮w布局如圖2所示。

　　圖2 政務信息共享安全保障總體布局

　　按照分級分域原則對政務網絡平臺進行分域，劃分安全基礎設施、數據中心以及安全管理中心等安全域。

　　安全基礎設施包括密鑰管理基礎設施、電子認證基礎設施、信任服務設施以及密碼資源池。

　　數據中心包括數據標簽管理服務系統、政務云平臺、數據庫加密服務系統以及數據脫敏系統。

　　安全管理中心包括數據共享交換監管系統、監測預警和態勢感知系統、政務云監管系統以及綜合安全監管呈現平臺等。

　　3.3 工作建議

　　3.3.1 構建安全基礎支撐服務，奠定數據共享安全基石

　　構建適用于政務外網環境的信任服務設施，提供身份管理、身份認證、授權管理以及安全審計等服務。以密碼基礎設施為支撐，構建密碼資源池，對外提供密碼運算服務，包括數據簽名服務、信息驗簽服務、數據加密服務、密文解密服務以及數字信封服務。以數據標簽管理服務系統為支撐構建數據標簽服務，對外提供數據標簽生成服務、標簽修改服務、標簽識別服務、標簽驗證服務以及標簽提取服務。

　　采用服務化軟件架構設計思想，對信任服務、密碼服務以及數據標簽服務進行封裝，以服務接口形式對業務應用提供安全服務。三類服務基于開放標準兼容各類數據共享接口，實現松散的系統耦合，具備對異構業務系統的支撐能力，滿足平臺無關性要求，同時具備服務能力彈性可擴展、快速的業務響應能力。

　　3.3.2 安全防護機制體系化，保障共享平臺整體安全

　　依托安全基礎支撐中密碼基礎設施、信任服務設施的管理和服務能力，按照等級保護要求，構建針對數據共享交換平臺的安全防護體系，在網絡、計算環境、數據以及應用各層面為數據共享交換平臺提供全面的安全防護。

　　3.3.3 分類分級數據保護，保障全生命周期的安全

　　在共享平臺安全防護的基礎上，重點強化共享數據的分類分級保護機制，使安全措施融入數據的全生命周期。

　　按照數據所屬類別、數據敏感程度，對共享資源進行分類和分級，落實數據的分類和分級保護策略，強化共享資源的全生命周期安全。

　　(1)針對數據在資源提供方留存階段，應按照數據安全級別進行保護，同時保障承載系統滿足相應的等級保護要求。

　　(2)針對流入政務信息資源共享平臺前置中的數據，根據數據重要程度和標記主體完成標簽的生成和添加。數據標簽可以作為數據的“身份證”表征數據的來源。針對匯集后的數據，按照業務類別和敏感重要程度，依據安全策略對數據采用完整性保護、加密保護以及分類存儲等措施，實現數據分類分級保護，有效解決政務信息資源在平臺服務方留存階段的安全問題。同時，可結合數據標簽記錄和系統審計日志，形成共享數據流轉全程視圖，細粒度地掌握數據共享過程信息，清晰界定共享過程中的各參與方的責任。

　　(3)針對數據在資源使用方的留存階段，應按照數據安全級別進行保護，同時應保障承載系統滿足相應的等級保護要求。尤其需要強化共享資源的使用監管，保障數據的合規利用。

　　3.3.4 多維度安全監管，支撐多部門差異化監管

　　針對數據共享交換平臺在設備層、系統層、數據層、業務層的數據安全防護狀態、系統安全狀態和各類安全事件構建監管體系，滿足數據流轉、數據保密、網絡安全防護、密碼應用等方面的監管需求，形成對數據共享交換平臺的多層次、多維度的全域安全監管能力。

　　同時，通過監管平臺服務化設計，為不同監管責任主體提供服務接口，滿足監管部門對數據流轉、網絡安全防護、密碼應用以及信息保密方面的差異化數據安全監管需求。

　　3.3.5 數據共享安全標準化，規范安全保障體系建設

　　在等級保護標準框架下，制定能夠指導和規范政務信息資源安全共享的技術標準、測評標準、管理指南、安全服務使用指南、政務信息資源分類和分級指南及管理辦法等標準規范。

　　3.3.6 完善管理和運維機制，保障共享平臺安全運行

　　建立數據共享交換平臺的安全運維機制和安全管理機制，形成能持續完善、自我優化的安全運維體系和安全管理體系，保障數據共享交換平臺安全、順暢運行。

　　重點明確各參與方的安全責任，落實共享資源的分類和分級保護要求以及承載系統的安全防護要求，形成安全追責機制。同時，建立免責機制，明確數據安全防護和承載系統安全防護達到要求后的免責條款。通過上述機制建設，實現安全保障有規可循、安全責任可追究，保障政務信息資源共享工作安全、有序開展。

　　04 結 語

　　本文針對政務信息共享面臨的安全問題和風險提出解決措施和應對建議，通過重點分析共享業務和共享系統兩個維度的安全需求，設計體系化政務信息共享安全保障總體架構，并從縱向共享和橫向共享兩個維度提出分級、分布式安全管理和安全保障技術布局，針對政務信息共享交換安全保障體系建設提出工作建議，可為政務信息資源共享安全保障系統建設提供參考。

　　作者簡介：

　　顏 亮，學士，高級工程師，主要研究方向為數據安全;

　　劉 棟，碩士，高級工程師，主要研究方向為數據安全;

　　董貴山，博士，研究員級高級工程師，主要研究方向為信息安全;

　　楊遠輝，男，學士，工程師，主要研究方向為大數據安全。

　　選自《通信技術》2020年第9期(為便于排版，已省去原文參考文獻)

　　聲明：本文來自信息安全與通信保密雜志社，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表萬方安全立場，轉載目的在于傳遞更多信息。如有侵權，請聯系刪除。